信息系统审计的操作流程.ppt
《信息系统审计的操作流程.ppt》由会员分享,可在线阅读,更多相关《信息系统审计的操作流程.ppt(21页珍藏版)》请在课桌文档上搜索。
1、信息系统审计操作流程,一、审计计划阶段,二、审计实施阶段,三、审计完成阶段,信息系统审计的流程分成以下三个阶段:,一、审计计划阶段,1、了解被审系统基本情况,2、初步评价被审单位系统的内部控制及外部控制,3、识别重要性,4、编制审计计划,在审计计划阶段的工作分成以下四部分:,1、了解被审系统基本情况,了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计人员对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。,了解了基本情况,审计人员就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前
2、审计的状况、审计难点与重点,以决定是否对其进行审计。,2、初步评价被审单位系统的内部控制及外部控制,依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。,一般控制:是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件)的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。,应用控制:是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具
3、有特殊性,不同的应用系统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。,为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。,3、识别重要性,4、编制审计计划,经过以
4、上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。,总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。,二、审计实施阶段,1、对信息系统计划开发阶段的审计,2、对信息系统运行维护阶段的审计,在审计实施阶段的工作包括以下两部分:,1、对信息系统计划开发阶段的审计,对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计,可以采用事中审计,也可以是事后审计。比较而言事中审计更有意义,审计结果的得出利于故障、问题的及早发
5、现,利于调整计划,利于开发顺序的改进。,信息系统计划阶段的关键控制点有:计划是否有明确的目的;计划中是否明确描述了系统的效果;是否明确了系统开发的组织;对整体计划进程是否正确预计;计划能否随经营环境改变而及时修正;计划是否制定有可行性报告;关于计划的过程和结果是否有文档记录等等。,系统开发阶段:包括系统分析、系统设计、代码编写和系统测试三部分。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶段的设计图及数据库结构和编码设计,用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试,是系统开发完
6、毕,进入试运行之前的必经程序。系统开发阶段审计的关键控制点有:分析控制点:是否己细致分析企业组织结构;是否确定用户功能和性能需求;是否确定用户的数据需求等。设计控制点:设计界面是否方便用户使用;设计是否与业务内容相符;性能能否满足需要,是否考虑故障对策和安全保护等。编程控制点:是否有程序说明书,并按照说明书进行编写;编程与设计是否相符,有无违背编程原则;程序作者是否进行自测;是否有程序作者之外的第三人进行测试;编程的书写、变量的命名等是否规范。测试控制点:测试数据的选取是否按计划及需要进行,是否具有代表性;测试是否站在公正客观的立场进行,是否有用户参与测试;测试结果是否正确记录等。,2、对信息
7、系统运行维护阶段的审计,对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在信息系统正式运行阶段,针对信息系统是否被正确操作和是否有效地运行,从而真正实现信息系统的开发目标、满足用户需求而进行的审计。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。,输入审计的关键控制点有:是否制定并遵守输入管理规则,是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。通信系统审计的关键控制点有:是否制定并遵守通信规则,对网络存取控制及监控是否有效等。(通信系统实施的是实际数据的传输
8、,通信系统中,审计轨迹应记录输入的数据、传送的数据和工作的通信系统。)处理过程审计关键控制点有:被处理的数据,数据处理器,数据处理时间,数据处理后的结果,数据处理实现的目的,系统处理的差错率,平均无故障时间,可恢复性和平均恢复时间等。(处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程,此时的审计主要针对数据输入系统后是否被正确处理。)数据库审计关键控制点有:对数据的存取控制及监视是否有效,是否记录数据利用状况,并定期分析,是否考虑数据的保护功能,是否有防错、保密功能,防错、保密功能是否有效等。(数据库审计是保障数据库正确行使了其职能,如对数据操作的有效性和发生异常操作时对数据的保护
9、功能(正确数据不丢失,数据回滚以保证数据的一致性)。),系统输出审计关键控制点有:输出信息的获取及处理时是否有防止不正当行为和机密保护措施,输出信息是否准确、及时,输出信息的形式是否被客户所接受,是否记录输出出错情况并定期分析等。(系统输出审计不同于测试阶段的输出审计,此时的输出是在实际数据的基础上进行的,对其进行审计可以对系统输出进行再控制,结合用户需求进行评价。)运行管理审计关键控制点有:操作顺序是否标准化,作业进度是否有优先级,操作是否按标准进行,人员交替是否规范,能否对预计与实际运行的差异进行分析,遇问题时能否相互沟通,是否有经常性培训与教育等。(运行管理审计是对人机系统中人的行为的审
10、计。),系统维护过程审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。系统维护过程审计关键控制点有:维护组织的规模是否适应需要,人员分工是否明确,是否有一套管理机制和协调机制,维护过程发现的可改进点,维护是否得到维护负责人同意,是否对发现问题作了修正,维护记录是否有文档记载,是否定期分析,旧系统的废除是否在授权下进行等。,三、审计完成阶段,1、整理、评价执行审计业务过程中收集到的证据。,2、复核审计底稿,完成二级复核。,3、评价审计结果,形成审计意见,完成三级复核,编制审计报告。,在审计完成阶段的工作分成以下三部分:,附录:信息系统审计方法,几种常见的用于信息系统审
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统 审计 操作 流程
链接地址:https://www.desk33.com/p-246442.html